[FreeBSD] probleme de configuration pare feu

[mout551]

Bonjour a tous,

je viens d'installer Apache, php et Mysql. Je tente ensuite de me connecter, via Firefox, à l'adresse 127.0.0.1. Malheuresement, la connection est impossible alors que apache est bien démarré.
Je pense que le probleme provient du pare feu.

Or je ne sais pas quel pare feu est utilisé ?? S'il s'agit de packet filter, jai modifer dans le fichier pf.conf quelques lignes mais cela ne change rien.



####Macro####
tcpflags = "flags S/SFRA"
if = "sis0" #Nom de l'interface reseau

####Regles###
#bloquer et loguer tout par default
block log all

#HTTP, HTTPS
pass in quick on $if proto tcp from all to $if port { http https } $tcpflags keep state




Toutes les autres lignes de mon fichier sont précédées par le signe #.
Jai également rajouter au fichier rc.conf la ligne suivante : pf=yes

Y a t il des modifications a apporter ??
Merci de votre aide

[julp]

Je doute que ce soit Packet Filter :

• Packet Filter n'est pas activé ni utilisable par défaut sur un système FreeBSD (il faut charger les modules ou recompiler son noyau).
• La variable du fichier rc.conf pour l'activer est actuellement :
  
  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  1
  2
  3
  pf_enable="YES"
  # pf_rules="mes_regles.conf"
  # ...

Toutefois, pour vérifier si pf est actif : pfctl -si | head -n 1
Lister vos règles : pfctl -sr
Au besoin, pour désactiver temporairement pf : pfctl -d (-e pour réactiver)

En supposant que PF fonctionne :

• dans votre fichier de configuration, il ne faut pas oublier de permettre à vos paquets sur l'interface de loopback d'y transiter :
  1. Explicitement à l'aide de règle(s) pass quick
  2. En ignorant tout bonnement cette interface :
     
     Code :

     Sélectionner tout - Visualiser dans une fenêtre à part

     set skip on lo0

• puisque votre règle par défaut est de bloquer et celle-ci logguant les paquets rejetés, utilisez tcpdump pour savoir ce qu'il se passe en temps réel :
  
  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  tcpdump -n -e -ttt -i pflog0

  Mais il faut que pflog soit activé (dans votre fichier /etc/rc.conf) :
  
  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  pflog_enable="YES"

Avez-vous vérifié vos règles avant de les charger (pfctl -nf mes_regles.conf) ? Apache est-il bien démarré (consulter son journal d'erreurs) ?

[mout551]

Merci beaucoup julp pour tous ces renseignements.

Je vais regarder tous ca demain en essayant de trouver la solution.

En fait jai suivi votre superbe tutoriel sur l'installation d'un environnement FAMP :
http://julp.developpez.com/freebsd/famp/.

Tout s'est tres bien déroulé, il me manque juste le point 1.4 concernant le pare feu.

Avec Firefox, il m'est impossible de me connecter en local ni d'utiliser Apache en réseau accessible via un autre PC en tapant l'adresse IP.

Merci pour les renseignements.

[julp]

Citation:

Envoyé par mout551

Tout s'est tres bien déroulé, il me manque juste le point 1.4 concernant le pare feu.

Ce n'est pas obligatoire : vous pouvez ne pas utiliser Packet Filter (il existe IPFilter ou IPFireWall) voir aucun pare-feu. Disons que le but de ce paragraphe est de ne pas faire oublier la configuration de son pare-feu (si on en utilise un). De plus il faut bien évidemment adapter ces règles à sa configuration.

Du coup, vous en avez un d'activer ? Si oui, avez-vous essayé de le désactiver temporairement ?

Citation:

Envoyé par mout551

Avec Firefox, il m'est impossible de me connecter en local ni d'utiliser Apache en réseau accessible via un autre PC en tapant l'adresse IP.

Qu'avez-vous modifié dans la configuration d'Apache ? De mémoire, j'avais du changer le ServerName et le fichier /etc/hosts pour qu'il trouve l'adresse IP correspondante (mais je suis dans une configuration Intranet très basique) sinon il ne démarre pas (mais il doit afficher des messages d'erreur si tel est le cas). Est-ce qu'il apparaît avec sockstat -4 par exemple ?

[mout551]

Les commandes pfctl ne passe pas donc, a mon avis, il n'y a pas Packet Filter.

Donc maintenant je regarde spécialement le fichier de configuration apache.

Jai modifié le ServerName qui s'appelle désormais localhost

Jai également modifié la ligne Listen qui devient maintenant : Listen 127.0.0.1:80

Mais je n'arrive toujours pas a me connecter en local...

Sinon avec sockstat -4, j'ai Sendmail, sshd, mysqld et syslogd mais pas Apache de présent ici ! Y a t il un lien, pourquoi je ne voit pas apache ici...

[mout551]

Jai oublié de préciser, je n'ai pas touché au fichier /etc/hosts

[mout551]

je viens de découvrir quelque chose, peut etre une autre piste...

Lors de l'installation de FreeBSD, il m'a été demandé si je dois configurer inetd. Et je l'ai configuré.
Je me demande s'il aurait plutot fallu mettre no et ainsi ne pas créer de possible conflits pour utiliser Apache ??

[julp]

Citation:

Envoyé par mout551

Sinon avec sockstat -4, j'ai Sendmail, sshd, mysqld et syslogd mais pas Apache de présent ici ! Y a t il un lien, pourquoi je ne voit pas apache ici...

Ben il y a un problème : ne serait-il pas démarré (à vérifier avec ps par exemple) ? Utilisez-vous la bonne variable dans votre fichier /etc/rc.conf ? Que dit-il lorsque vous tentez de le (re)démarrer ? Avez-vous essayé de le faire manuellement (apachectl/httpd) ?

Citation:

Envoyé par mout551

Jai oublié de préciser, je n'ai pas touché au fichier /etc/hosts

C'est effectivement inutile pour localhost, puisque vous y avez normalement déjà une(des) entrée(s).

Citation:

Envoyé par mout551

Lors de l'installation de FreeBSD, il m'a été demandé si je dois configurer inetd. Et je l'ai configuré.
Je me demande s'il aurait plutot fallu mettre no et ainsi ne pas créer de possible conflits pour utiliser Apache ??

Je ne pense pas (son fichier de configuration est vide par défaut et n'utilise pas le port 80). Au pire, il est désactivé par défaut ou se fait explicitement dans /etc/rc.conf au moyen de :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

inetd_enable="NO"

[mout551]

Je viens de mettre la ligne suivante :

/usr/local/sbin/apachectl restart
Cela me renvoie : httpd not running, trying to start

Il y a donc bien une erreur au niveau du démarrage de Apache...
Mais comment résoudre ce probleme ?

[mout551]

Le probleme doit provenir du fichier httpd.conf
Jai les lignes suivantes :

User www
Group www

Or lorsque je lance firefox je suis en root.
Jai donc remplacé la ligne et jai mis :

User root

Mais cela ne marche toujours pas...

[julp]

Citation:

Envoyé par mout551

Il y a donc bien une erreur au niveau du démarrage de Apache...
Mais comment résoudre ce probleme ?

Le journal d'erreur d'Apache (/var/log/httpd-error.log ?) doit vous fournir de précieuses indications quant à la cause. httpd propose également quelques options de débogage (par exemple pour Apache 2.2 : -X, -e niveau_débogage, -E fichier, ...).

Citation:

Envoyé par mout551

Or lorsque je lance firefox je suis en root.
Jai donc remplacé la ligne et jai mis :

User root

OMG ! Utiliser le compte root "à tord et à travers" est le meilleur moyen de compromettre son système ou de faire une erreur irrécupérable. Il faut l'utiliser le moins possible et il existe d'ailleurs des solutions comme sudo (pour la ligne de commande), permettant de se simplifier la tâche sans utiliser directement ce compte privilégié (en admettant que sudo est bien utilisé). Pour, le mode graphique c'est la même chose : il vous est généralement demandé, lorsque les opérations en requièrent les droits, le mot de passe de cet utilisateur.

[mout551]

oui tout a fait,

mais il m'est impossible de lancer firefox depuis un utilisateur ?!?
Cela me donne l'erreur :

Xlib: connection to ":0.0" refused by server
Xlib: No protocol specified (firefox-bin:309): Gtk-WARNING **cannot open display

[mout551]

ok pour le probleme de firefox, c'est réglé, il ne faut pas se connecter en tant que root lors du démarrage de la session.

[mout551]

dans le fichier /var/log/httpd-error.log, j'ai l'erreur suivante :

[alert] (EAI 8)hostname nor servname provided, or not Configuration failed